El Equipo de Preparaci\u00f3n para Emergencias Inform\u00e1ticas de los Estados Unidos (US-CERT) emiti\u00f3 otra advertencia<\/a> sobre vulnerabilidades de seguridad en los equipos m\u00e9dicos fabricados por Medtronic.<\/p>\n El problema esta vez est\u00e1 en los Valleylab FT10 (V4.0.0 y posteriores) y Valleylab FX8 (v1.1.0 y posteriores), generadores electroquir\u00fargicos utilizados por los cirujanos para procedimientos como la cauterizaci\u00f3n durante las operaciones.<\/p>\n Esa es la buena noticia: los hospitales son quienes utilizan estos equipo, lo que significa que localizarlos y mitigar o reparar las vulnerabilidades deber\u00eda ser relativamente sencillo en comparaci\u00f3n con el equipo m\u00e9dico utilizado por miles de consumidores.<\/p>\n La parte negativa es que dos de las vulnerabilidades, CVE-2019-3464<\/a> y CVE-2019-3463<\/a>, son lo suficientemente graves como para obtener una calificaci\u00f3n CVSS de 9.8, lo que los convierte en cr\u00edticas.<\/p>\n La \u00faltima vulnerabilidad es la utilidad de shell restringido (rssh) que permite la carga de archivos a las unidades de Valleylab. El uso de una versi\u00f3n no parcheada podr\u00eda proporcionarle al atacante acceso como administrador y la capacidad de ejecutar c\u00f3digo.<\/p>\n Seg\u00fan la alerta, es necesario que el acceso a la red est\u00e9 habilitado para que esto suceda, algo que pasa a menudo, presumiblemente para la administraci\u00f3n remota, lo que brinda a los atacantes una forma de acceder a los dispositivos vulnerables.<\/p>\n Un tercer defecto, CVE-2019-13539<\/a>, es causado por un hash de contrase\u00f1a inseguro (es decir, reversible), generado por descrypt, que se puede extraer del dispositivo gracias a las otras vulnerabilidades mencionadas en la advertencia.<\/p>\n El cuarto defecto, CVE-2019-13543<\/a>, afecta a Medtronic Valleylab Exchange Client versi\u00f3n 3.4 y siguientes, es causado por credenciales codificadas.<\/p>\n Actualmente, los parches est\u00e1n disponibles para Valleylab FT10, mientras que el FX8 los recibir\u00e1 a principios de 2020. Mientras tanto:<\/p>\n Medtronic recomienda desconectar los productos afectados de las redes IP o segregar esas redes, de modo que no se pueda acceder a los dispositivos desde una red no confiable (por ejemplo, Internet).<\/em><\/p>\n No est\u00e1 claro qui\u00e9n descubri\u00f3 las vulnerabilidades m\u00e1s recientes, aunque US-CERT dice que Medtronic le inform\u00f3.<\/p>\n Si es as\u00ed, ese es un paso en la direcci\u00f3n correcta despu\u00e9s de que las alertas anteriores descubiertas por investigadores independientes que a veces lucharon por llamar la atenci\u00f3n de la empresa.<\/p>\n Medtronic ha sufrido una serie de problemas de seguridad en sus productos en los \u00faltimos a\u00f1os, incluyendo un par de vulnerabilidades<\/a> en sus desfibriladores de cardioversor implantable (ICD) en marzo y en sus marcapasos<\/a> en 2018.<\/p>\n El \u00faltimo de ellos fue un punto bajo en el parcheo de equipos m\u00e9dicos despu\u00e9s de que los investigadores usaron una sesi\u00f3n en el show de Black Hat para resaltar que el equipo era vulnerable a una vulnerabilidad de seguridad 18 meses despu\u00e9s de que se informara a la empresa del problema.<\/p>\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/11\/shutterstock_231634663-compressor.png\"\/)
<\/p>\n